Hệ thống IDS, Firewall và Honeypot
Snort
Snort là một hệ thống phòng chống xâm nhập mã nguồn mở mang đến các giải pháp phòng thủ mạng thời gian thực toàn diện và hiệu quả nhất, có khả năng phân tích giao thức, phân tích gói và ghi nhật ký. Nó cũng có thể tìm kiếm, lọc nội dung, phát hiện nhiều loại tấn công, thăm dò bao gồm tràn bộ đệm, quét cổng, thăm dò SMB và hơn thế nữa.
Snort cũng có thể được sử dụng dưới nhiều hình thức khác nhau bao gồm trình kiểm tra gói, trình ghi gói, thiết bị ghi tệp mạng hoặc như một hệ thống ngăn chặn xâm nhập mạng toàn diện.
Snort Rule
Rules là một tiêu chí để phát hiện chống lại các mối đe dọa và lỗ hổng bảo mật với hệ thống và mạng, dẫn đến lợi thế của phát hiện zero-day. Không giống như chữ ký, các quy tắc tập trung vào việc phát hiện các lỗ hổng thực tế. Có hai cách để nhận các quy tắc Snort:
- Snort Subscribers Rule
- Snort Community Rule
Các quy tắc của Người đăng ký được cập nhật thường xuyên và cập nhật trên thiết bị. Nó yêu cầu đăng ký trả phí để nhận các bản cập nhật theo thời gian thực của Snort Rules. Các quy tắc cộng đồng được Snort Community cập nhật chứa tất cả các quy tắc của Người đăng ký nhưng chúng không được cập nhật nhanh chóng như đó. Quy tắc snort có hai phần logic:
- Tiêu đề quy tắc: chứa hành động, giao thức, địa chỉ IP nguồn và đích và mặt nạ mạng cũng như thông tin về cổng nguồn và cổng đích.
- Phần tùy chọn quy tắc: chứa các thông báo cảnh báo và thông tin về những phần cần được kiểm tra quyết định thực hiện.
Các mục của Snort Rules
Danh mục quy tắc phát hiện ứng dụng bao gồm giám sát các quy tắc Kiểm soát lưu lượng ứng dụng nhất định. Các quy tắc này kiểm soát hành vi và hoạt động mạng của các ứng dụng:
- app-detect.rules
Danh mục quy tắc danh sách đen bao gồm URL, địa chỉ IP, DNS và các quy tắc khác đã được xác định là chỉ báo về các hoạt động độc hại:
- blacklist.rules
Danh mục quy tắc trình duyệt bao gồm quy tắc phát hiện lỗ hổng bảo mật trong một số trình duyệt nhất định:
- browser-chrome.rules
- browser-firefox.rules
- browser-ie.rules
- browser-webkit
- browser-other
- browser-plugins
Danh mục quy tắc hệ điều hành bao gồm các quy tắc tìm kiếm lỗ hổng trong Hệ điều hành:
- os-Solaris
- os-windows
- os-mobile
- os-Linux
- os-other
Các công cụ phát hiện xâm nhập khác
- ZoneAlarm PRO Firewall 2015
- Comodo Firewall
- Cisco ASA 1000V Cloud Firewall
Tường lửa cho điện thoại di động
- Android Firewall
- Firewall IP
Công cụ Honeypot
- KFSensor
- SPECTER
- PatriotBox
- HIHAT
Trốn tránh IDS
Insertion Attack
Tấn công chèn là một kiểu trốn tránh IDS bằng cách lợi dụng việc tin tưởng một cách mù quáng vào IDS. Hệ thống IDS giả định rằng các gói được chấp nhận cũng được chấp nhận bởi hệ thống cuối, nhưng có thể có khả năng hệ thống cuối có thể từ chối các gói này.
Loại tấn công này thường nhắm mục tiêu đến Signature-based IDS để chèn dữ liệu vào IDS. Lợi dụng lỗ hổng bảo mật, kẻ tấn công có thể chèn các gói có giá trị tổng kiểm tra hoặc TTL không hợp lệ và gửi chúng không theo thứ tự. IDS và máy chủ lưu trữ cuối, khi tập hợp lại gói, chúng có thể có hai luồng khác nhau.
Evasion
Evasion là một kỹ thuật nhằm gửi gói tin được chấp nhận bởi hệ thống cuối bị IDS từ chối. Kỹ thuật trốn tránh nhằm mục đích khai thác máy chủ. Một IDS từ chối nhầm một gói tin như vậy sẽ bỏ sót hoàn toàn nội dung của nó. Kẻ tấn công có thể lợi dụng điều kiện này và khai thác nó.
Fragmentation Attack
Phân mảnh là quá trình chia nhỏ gói tin thành các mảnh. Kỹ thuật này thường được áp dụng khi IDS và máy chủ được cấu hình với thời gian chờ khác nhau. Ví dụ nếu một IDS được định cấu hình với 10 giây trong khi máy chủ được định cấu hình với 20 giây thời gian chờ, việc gửi các gói với độ trễ 15 giây sẽ bỏ qua IDS và tập hợp lại tại máy chủ.
Tương tự Phân mảnh chồng chéo, một gói có số thứ tự TCP được định cấu hình chồng chéo. Việc tập hợp lại các gói phân mảnh, chồng chéo này dựa trên cách hệ điều hành được cấu hình để thực hiện. Máy chủ hệ điều hành có thể sử dụng phân mảnh gốc trong khi thiết bị IOS có thể sử dụng phân mảnh tiếp theo theo thứ tự.
Denial-of-Service Attack (DoS)
Các thiết bị IDS thụ động vốn dĩ Fail-open được thay vì Fail-Closed. Lợi dụng hạn chế này, kẻ tấn công có thể khởi động một cuộc tấn công Từ chối Dịch vụ trên mạng để làm quá tải Hệ thống IDS bằng cách làm cạn kiệt CPU hoặc bộ nhớ để làm quá tải IDS.
Những điều này có thể được thực hiện bằng cách gửi gói được chế tạo đặc biệt tiêu tốn nhiều tài nguyên CPU hơn hoặc gửi một số lượng lớn các gói không theo thứ tự bị phân mảnh.
Obfuscating
Obfuscation là mã hóa tải trọng của một gói tin được chuyển đến mục tiêu theo cách mà máy chủ đích có thể đảo ngược nó nhưng IDS thì không. Nó sẽ khai thác người dùng cuối mà không cảnh báo IDS sử dụng các kỹ thuật như mã hóa, đa hình.
Các giao thức được mã hóa không được IDS kiểm tra trừ khi IDS được cấu hình với khóa riêng sử dụng bởi máy chủ để mã hóa các gói. Tương tự, kẻ tấn công có thể sử dụng shellcode đa hình để tạo ra các mẫu duy nhất trốn tránh IDS.
False Positive Generation
Tạo cảnh báo False Positive là báo sai về kết quả được kiểm tra cho một điều kiện hoặc chính sách cụ thể. Kẻ tấn công có thể tạo ra một số lượng lớn các cảnh báo False Positive bằng cách gửi một gói đáng ngờ để vận chuyển và ẩn gói độc hại thực sự bên trong để vượt qua IDS.
Session Splicing
Ghép phiên là một kỹ thuật trong đó kẻ tấn công chia lưu lượng truy cập thành nhiều gói nhỏ hơn theo cách mà thậm chí không một gói nào kích hoạt cảnh báo. Điều này cũng có thể được thực hiện bằng một kỹ thuật hơi khác như thêm độ trễ giữa các gói. Kỹ thuật này có hiệu quả đối với những IDS không tập hợp lại trình tự để kiểm tra chống lại sự xâm nhập.
Unicode Evasion Technique
Kỹ thuật né tránh Unicode là một kỹ thuật khác trong đó kẻ tấn công có thể sử dụng Unicode để thao túng IDS. Unicode là một chuẩn mã hóa ký tự. Chuyển đổi chuỗi sử dụng ký tự Unicode có thể tránh khớp chữ ký và cảnh báo IDS, do đó vượt qua hệ thống phát hiện.
Mind Map
